Reklāma

Piesakieties, izmantojot Facebook. Piesakieties, izmantojot Google. Vietnes regulāri izmanto mūsu vēlmi pierakstīties viegli, lai nodrošinātu, ka mēs apmeklējam, un lai viņi satvertu daļu personisko datu. Bet par kādu cenu? Drošības pētnieks nesen atklāja ievainojamību Piesakieties, izmantojot Facebook funkcija, kas atrodama daudzos tūkstošos vietņu. Tāpat kļūda Google App domēna nosaukuma saskarnē simtiem tūkstošu cilvēku privātu informāciju atklāja sabiedrībai.

Šīs ir nopietnas problēmas, ar kurām saskaras divi lielākie sadzīves tehnikas nosaukumi. Lai arī šie jautājumi tiks apstrādāti pietiekami nemierīgi un ievainojamības tiks novērstas, vai sabiedrībai tiek pievērsta pietiekama uzmanība? Apskatīsim katru gadījumu un to, ko tas nozīmē jūsu tīmekļa drošībai.

1. gadījums: pieteikšanās, izmantojot Facebook

Ievainojamība Pieteikšanās ar Facebook pakļauj jūsu kontus, bet ne faktisko Facebook paroli, un trešo pušu instalētās programmas, piemēram, Bit.ly, Mashable, Vimeo, About.meun citi uzņēmēji.

Kritiskā kļūda, ko atklāja Sakurity drošības pētnieks Egors Homakovs, ļauj hakeriem ļaunprātīgi izmantot “Facebook” koda pārraudzību. Nepilnība izriet no neatbilstības Vietņu pieprasījuma viltošana (CSFR) aizsardzība trim dažādiem procesiem: pieteikšanās Facebook, Facebook izrakstīšanās un trešo personu konta savienojums. Ievainojamība būtībā ļauj nevēlamai pusei veikt darbības autentificētā kontā. Jūs varat redzēt, kāpēc tas būtu nozīmīgs jautājums.

muo-drošība-smb-parole-zādzība

Tomēr Facebook pagaidām ir izlēmis darīt ļoti maz, lai risinātu šo problēmu, jo tas apdraudētu viņu pašu saderību ar lielu skaitu vietņu. Trešo problēmu var labot jebkurš attiecīgais vietnes īpašnieks, bet pirmie divi atrodas tikai pie Facebook durvīm.

Lai vēl vairāk parādītu Facebook veiktās darbības trūkumu, Homakovs šo jautājumu ir virzījis tālāk, atbrīvojot hakeru rīku ar nosaukumu RECONNECT. Tādējādi tiek izmantota kļūda, ļaujot hakeriem izveidot un ievietot pielāgotos vietrāžus URL, kurus izmanto kontu nolaupīšanai trešo pušu vietnēs. Homakovu varētu saukt bezatbildīgi par instrumenta atbrīvošanu Kāda ir atšķirība starp labu hakeru un sliktu hakeru? [Atzinums]Ik pa brīdim mēs dzirdam kaut ko ziņās par hakeriem, kas izmet vietnes, izmanto a daudzas programmas vai draud draudēt, ka viņi nokļūs augstas drošības zonās, kur viņi atrodas nevajadzētu piederēt. Bet ja... Lasīt vairāk , bet vainīgs ir tieši tas, ka Facebook atsakās labot ievainojamību kas tika atklāts vairāk nekā pirms gada.

Piesakieties Facebook

Pa to laiku esiet modri. Neklikšķiniet uz neuzticamām saitēm no surogātpastu izskata lapām un nepieņemiet draugu pieprasījumus no cilvēkiem, kurus jūs nepazīstat. Arī Facebook ir publicējis paziņojumu, kurā teikts:

“Tā ir labi saprotama uzvedība. Vietņu izstrādātāji, kas izmanto Login, var novērst šo problēmu, ievērojot mūsu labāko praksi un izmantojot parametru “state”, kuru mēs piedāvājam OAuth pieteikšanās gadījumam. ”

Iedrošinot.

1.a gadījums: kurš mani nepaveicināja?

Citi Facebook lietotāji kļūst par upuri citam “pakalpojumam”, kas pretendē uz trešo personu OAuth pieteikšanās akreditācijas datu zādzībām. OAuth pieteikšanās ir paredzēta, lai lietotāji neļautu ievadīt paroli jebkurai trešo personu lietojumprogrammai vai pakalpojumam, saglabājot drošības sienu.

Paziņot par nedraudzīgu

Tādus pakalpojumus kā Nedraudzīgs laupījums indivīdiem, kuri mēģina atklāt, kurš ir atteicies no tiešsaistes draudzības, lūdzot personām ievadīt savus pieteikšanās akreditācijas datus - pēc tam nosūtot viņus tieši uz ļaunprātīgu vietni vietne yougotunfriended.com. UnfriendAlert tiek klasificēta kā potenciāli nevēlama programma (PUP), ar nolūku instalējot reklāmprogrammatūru un ļaunprātīgu programmatūru.

Diemžēl Facebook nevar pilnībā pārtraukt šādus pakalpojumus, tāpēc pakalpojuma lietotājiem ir jāuzņemas modrība un neattiecas uz lietām, kuras, šķiet, ir patiesas.

2. gadījums: Google Apps kļūda

Mūsu otrā ievainojamība rodas no kļūdainas Google Apps darbības ar domēna vārdu reģistrāciju. Ja esat kādreiz reģistrējis vietni, jūs zināt, ka vārdam, adresei, e-pasta adresei un citai svarīgai privātajai informācijai ir būtiska nozīme. Pēc reģistrācijas ikviens, kuram ir pietiekami daudz laika, var vadīt a Kurš ir atrast šo publisko informāciju, ja vien reģistrācijas laikā neiesniedzat pieprasījumu saglabāt savus personas datus privātus. Šī funkcija parasti ir par maksu, un tā ir pilnīgi neobligāta.

Pierakstieties, izmantojot Google

Šīs personas reģistrē vietnes caur eNom un pieprasot privātu Whois, tika konstatēts, ka viņu dati ir lēnām izplatīti aptuveni 18 mēnešu laikā. Programmatūras defekts, atklāts 19. februārīth un pēc piecām dienām pieslēgts, noplūda privātos datus katru reizi, kad tika atjaunota reģistrācija, potenciāli pakļaujot privātpersonas daudzām datu aizsardzības problēmām.

Whois meklēšana

Piekļūt 282 000 lielapjoma ierakstu izlaidumam nav viegli. Jūs to neapstāsit tīmeklī. Bet tagad tas ir neizdzēšams plankums Google sasniegumos un ir tikpat neizdzēšams no plašā interneta skaita. Un, ja pat 5%, 10% vai 15% cilvēku sāk saņemt precīzi mērķētus, ļaunprātīgas šķēpu pikšķerēšanas e-pastus, tas rada balonus par lielām datu galvassāpēm gan Google, gan eNom.

3. gadījums: mani pievīla

Tas ir vairāku tīklu ievainojamība Katru Windows versiju ietekmē šī ievainojamība - ko jūs varat darīt ar to.Ko jūs teiktu, ja mēs jums teiktu, ka jūsu Windows versiju ietekmē ievainojamība, kas datēta ar 1997. gadu? Diemžēl tā ir taisnība. Microsoft vienkārši to nekad neuzlaboja. Tava kārta! Lasīt vairāk ļaujot hakerim atkal izmantot trešo personu pierakstīšanās sistēmas, kuras izmanto tik daudzu populāru vietņu. Hakeris iesniedz pieprasījumu ar identificētu neaizsargātu dienestu, izmantojot cietušā e-pasta adresi - tādu, kas iepriekš bija zināma neaizsargātajam dienestam. Pēc tam hakeris var viltot lietotāja informāciju ar viltotu kontu, iegūstot piekļuvi sociālajam kontam ar apstiprinātu e-pasta verifikāciju.

Tīkla drošība

Lai šis hack darbotos, trešās puses vietnei ir jāatbalsta vismaz viena cita sociālā tīkla pierakstīšanās, izmantojot citu identitātes nodrošinātāju, vai spēja izmantot vietējās personīgās vietnes akreditācijas datus. Tas ir līdzīgs Facebook hakerim, taču tas ir novērots plašākā vietņu klāstā, ieskaitot Amazon, LinkedIn un MYDIGIPASS, cita starpā, un tos, iespējams, varētu izmantot, lai pierakstītos sensitīvos pakalpojumos ar ļaunprātīgs nodoms.

Tā nav kļūda, tā ir iezīme

Dažas no vietnēm, kas iesaistītas šajā uzbrukuma režīmā, faktiski nav ļāvušas kritiskai ievainojamībai lidot zem radara: tās ir iebūvēts tieši sistēmā Vai jūsu maršrutētāja noklusējuma konfigurācija padara jūs ievainojamus hakeru un krāpnieku labā?Maršrutētāji reti nonāk drošā stāvoklī, taču, pat ja esat veltījis laiku sava bezvadu (vai vadu) maršrutētāja pareizai konfigurēšanai, tas joprojām var izrādīties vājā saite. Lasīt vairāk . Viens piemērs ir Twitter. Vaniļas Twitter ir labi, ja jums ir viens konts. Kad esat pārvaldījis vairākus dažādu nozaru kontus, tuvojoties dažādām auditorijām, jums ir nepieciešama lietojumprogramma piemēram, Hootsuite vai TweetDeck 6 bezmaksas veidi, kā ieplānot tvītusIzmantojot Twitter, tiešām jārunā šeit un tagad. Jūs atradīsit interesantu rakstu, lielisku attēlu, satriecošu video vai varbūt vienkārši vēlaties dalīties ar kaut ko tādu, ko tikko esat sapratuši vai domājuši. Arī... Lasīt vairāk .

Uzbūve

Šīs lietojumprogrammas sazinās ar Twitter, izmantojot ļoti līdzīgu pieteikšanās procedūru, jo arī tām ir nepieciešama tieša pieeja jūsu sociālajam tīklam, un lietotājiem tiek lūgts sniegt tādas pašas atļaujas. Tas rada sarežģītu scenāriju daudziem sociālā tīkla pakalpojumu sniedzējiem, jo ​​trešo pušu lietotnes tik daudz ienes sociālajā sfērā, tomēr skaidri rada drošības neērtības gan lietotājiem, gan pakalpojumu sniedzējiem.

Noapaļot uz augšu

Mēs esam identificējuši trīs un mazliet sociālā pierakstīšanās ievainojamības, kuras jums tagad vajadzētu spēt identificēt un, no tām, cerams, izvairīties. Sociālās pierakstīšanās hacks neizžūs pa nakti. potenciālā hakeru izmaksa 4 populārākās hakeru grupas un tas, ko viņi vēlasIr viegli domāt par hakeru grupām kā kaut kādiem romantiskiem aizmugures istabas revolucionāriem. Bet kas viņi īsti ir? Par ko viņi iestājas, un kādus uzbrukumus viņi ir veikuši iepriekš? Lasīt vairāk ir pārāk liels, un kad masveida tehnoloģiju uzņēmumi, piemēram, Facebook, atsakās rīkoties vislabākajās interesēs Lietotāju vidū tas galvenokārt ir durvju atvēršana un ļaušana viņiem noslaucīt datu privātumu durvju paklājs.

Vai trešā puse ir apdraudējusi jūsu sociālo kontu? Kas notika? Kā jūs atguvāties?

Attēla kredīts:binārais kods Caur Shutterstock, Struktūra caur Pixabay

Gavins ir MUO vecākais rakstnieks. Viņš ir arī MakeUseOf šifrētās māsas vietnes Blocks Decoded redaktors un SEO vadītājs. Viņam ir BA (Hons) mūsdienu rakstīšana ar digitālās mākslas praksi, kas izveidota no Devonas pakalniem, kā arī vairāk nekā desmit gadu profesionāla rakstīšanas pieredze. Viņš bauda lielu daudzumu tējas.